CA证书服务搭建与申请

OscaoChaser Linux干货

服务端根CA创建证书

进入固定目录,创建所需要的文件

cd /etc/pki/CA/

CA证书服务搭建与申请

touch /etc/pki/CA/index.txt 生成证书索引数据库文件 
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

CA证书服务搭建与申请

生成秘钥

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 2048)

CA证书服务搭建与申请

利用私钥生成自签CA证书

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days  7300  -out    /etc/pki/CA/cacert.pem
    -new:  生成新证书签署请求 
    -x509: 专用于CA生成自签证书,不加表示申请 
    -key :指定生成请求时用到的私钥文件的路径 
    -days:指定证书的有效期限 
    -out : 指定证书的保存路径

根据默认策略填写的申请信息(国家,省,公司等)

有时候需要将私钥文件和证书文件合并到一个文件,直接重定向到一个文件即可

CA证书服务搭建与申请

查看生成的自签CA证书

生成的证书要放在目录/etc/pki/CA/目录中,而不是子目录,否则后面为子CA签署颁发证书时,会找不到自己的证书。例如:

CA证书服务搭建与申请

CA证书服务搭建与申请

openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

CA证书服务搭建与申请

服务端子CA创建申请证书

进入固定目录,准备所需文件

    cd /etc/pki/CA
    touch index.txt
    echo 01 > serial

CA证书服务搭建与申请

生成秘钥

(umask 066;openssl genrsa -out ./private/subcakey.pem -des 1024)

CA证书服务搭建与申请

利用秘钥生成CA申请

openssl req -new -key ./private/subcakey.pem -out ./certs/subca.csr

CA证书服务搭建与申请

将生成的证书申请上交给根CA审核签署

scp ./certs/subca.csr root@ROOTCAIP:/etc/pki/CA/

CA证书服务搭建与申请

服务端根CA进行审核并颁发子CA的证书

查看需要审核和颁发的证书

CA证书服务搭建与申请

签署证书

openssl ca -in /path/service.csr –out /etc/pki/CA/certs/service.crt -days 3650

将证书颁发给子CA

scp ./newcerts/01.pem root@SUBCAIP:/etc/pki/CA

CA证书服务搭建与申请

注意事项:

(1)会生成两个之前设定的编号证书,在certs目录中是.crt后缀,文件名是申请名;在newcerts目录中是.pem后缀,文件名是编号。二者内容相同。

CA证书服务搭建与申请

(2)如果这时候没有准备创建证书需要的数据库索引文件index.txt和证书编号文件serial,会报错提示,补上即可。

(3)签署证书后,系统会自动备份签署的上一个旧证书,后缀为index.txt.old如果没有旧证书文件为空;在index.txt保存的是所有的证书信息。也会生成serial的备份。

CA证书服务搭建与申请

(4)产生一个新文件index.txt.attr,这个文件决定能否为一个证书申请颁发多个证书,默认yes不允许;如果允许,可以修改其文件内容为unique_subject = no。

CA证书服务搭建与申请

客户端申请CA证书

在需要使用证书的主机生成私钥

(umask 066; openssl genrsa -out /etc/pki/tls/private/client.key -des 2048)

CA证书服务搭建与申请

利用私钥生成证书申请文件

openssl req -new -key  /etc/pki/tls/private/client.key  -out /etc/pki/tls/app.csr -days 365

填写的申请信息国家,省,公司名称三项必须和CA一致
申请时间可以不写,因为时间是由服务端指定的

CA证书服务搭建与申请

将证书请求文件传输给子CA

scp /etc/pki/tls/app.csr SUBCAIP:/etc/pki/CA

CA证书服务搭建与申请

再为其他服务申请证书

(1)只需要直接申请,不需要再创建私钥

(2)填写的申请信息国家,省,公司名称三项必须和CA一致

(3)申请时间可以不写,因为时间是由服务端指定的

服务端子CA审核颁发证书

签署证书

openssl ca -in /path/service.csr –out /etc/pki/CA/certs/service.crt -days 365

颁发证书

scp /etc/pki/CA/newcerts/01.pem root@CLIENTIP:/etc/pki/CA/

查看某个证书信息

penssl x509 -in /PATH/FROM/CERT_FILE  -noout -text

openssl ca -status SERIAL 查看指定编号的证书状态,这个是利用数据库索引文件index.txt实现的。

—-终—-

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/86907

(7)
OscaoChaserOscaoChaser
1
上一篇 2017-09-11 09:56
下一篇 2017-09-11 15:30

相关推荐

  • sed编辑器使用 Linux干货

    sed编辑器使用

     简述       sed编辑器被称作流编辑器,和普通的交互式文本编辑器恰好相反。在交互式文本编辑器中(比如vim), 你可以用键盘命令来交互式地插入、删除或替换数据中的文本。流编辑器则会在编辑器处理数据之前基于预先 提供的一组规则来编辑数据流。sed编辑器可以根据命令来处理数据流中的数据,这些命令…

    2017-06-19

  • N25 – 第一周博客作业

      1. 描述计算机的组成及其功能2. 按系列罗列Linux的发行版,并描述不同发行版之间的联系和区别3. 描述Linux的哲学思想,并按照自己的理解对其进行解释性描述4. 说明Linux系统上命令的使用格式;详细介绍ifconfig,echo,tty,startx,export,pwd,history,sh…

    Linux干货 2016-11-28

  • N22-第四周作业

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 [root@localhost ~]# cp -r /etc/skel /home/tuser1    (复制/etc/skel为/home/tuser1) [root@localho…

    Linux干货 2016-09-05

  • Nginx 基础 (IO模型、编译安装、几大块配置文件详解)

    Nginx基础 前言 apache在设计的时候已经考虑了并发访问模型,select()机制可以响应1024个访问,但是当数量再大,千万级别的时候http就响应不过来了。这个时候,nginx的出现解决了这一个问题。nginx是一个安装简单、配置文件简单、占用内存少、稳定性高、处理并发能力非常强、灵活好用等有点聚集于一身的轻量级服务器。在Linux操作系统中,N…

    Linux干货 2016-12-24

  • Linux入门详解(第一周)

    Linux入门 1. 描述计算机的组成及其功能 计算机硬件的五大组成部分为:运算器、控制器、存储器、输入设备和输出设备; CPU:CPU是执行存储在主存中指令的引擎;内部又分为算数逻辑单元和控制单元,其中算数逻辑单元主要负责程序的运算与逻辑判断,控制单元则主要是协调各周边组件与各单元间的工作;此外CPU内还包含寄存器(如PC)和高速缓存等; 存储器:这里指主…

    Linux干货 2016-08-29

  • 基础指令的使用篇2 Linux版

    #echo -e "\033[41;33:4:5m"\033[0m] man命令 /usr/share/man 地址 whatis passwd 查看passwd的man 章节 man n passwd 显示passwd的第几章man文件 man -a passwd 列出所有的章节     -f   &nbs…

    Linux干货 2016-08-04

评论列表(1条)

  • h
    h 2017-09-13 11:14

    一篇不错的记录文,推荐给大家了!

电话咨询
在线咨询